Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции

В runc, инструментарии для запуска изолированных контейнеров, выявлена критическая уязвимость (CVE-2019-5736), позволяющая из подготовленного злоумышленником изолированного контейнера подменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak. Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.

Суть уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт, вызывающий /proc/self/exe, который ссылается на исполняемый файл runc. При выполнении "docker exec" и запуске runtime-ом подмененного /bin/bash будет выполнен файл, на который ссылается /proc/self/exe, а именно runc на стороне хоста. После этого атакующий может через модификацию /proc/self/exe внести изменение в исполняемый файл runc на стороне хост-системы.

Для проведения атаки требуется выполнение пользователем с правами root операции создания нового контейнера на основе подготовленного атакующим образа или подключения к существующему контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t). При этом проблема не проявляется при корректном использованием пространств имен идентификаторов пользователя (user namespaces) или при использовании режима "enforcing" SELinux в RHEL.

Уязвимость уже устранена в RHEL, Fedora, Ubuntu и SUSE, но остается неисправленной в Debian. Решающие проблему патчи подготовлены для runc и LXC. Рабочий прототип эксплоита планируют опубликовать 18 февраля.